Barnes Projects

10 Top Level Cyber Threat Clusters

#1 Abuse of functions

#2 Exploiting (Server)

#3 Drive by infection (Client)

#4 Identity Theft

#5 Man in the middle

#6 Flooding Attack

#7 Malware

#8 Supply Chain (Attack)

#9 Physical Attack

#10 Social Engineering

Cyber image

Im Kern steht dieses Konzept und hat sich in der Praxis erprobt. Ich dokumentiere allerdings immer noch, sofern es die Verständlichkeit erhöht - dies allerdings nur noch auf der englisch sprachigen Version. Wie immer mit "neuen" Konzepten: Konzepte machen eine spezifische Sicht auf Etwas. Es braucht etwas Zeit sich in diesen Rahmen einzudenken - Wiederholung hilft hier. Wer ein "angemesseneres" Konzept vorlegen kann, melde sich bitte.

Weitere Informationen und Details en

"Strategisches Cyber Risikomanagement mit Operational Security verbinden?"


Cyber Risk Bow Tie

Oder: "Auf der Suche nach einem möglichst pragmatischen und vollständigen Ansatz."


Nachfolgendes Gedankenexperiment habe ich entwickelt, nachdem meine Analysen zu typischen Threat Katalogen wie im NIST, ISO 27005, BSI, MITRE, OWASP oder NCSC hinsichtlich (einfacher) Anwendbarkeit einerseits im Operationellen Risikomanagement (Szenarien), als auch bei Threat Intelligence wie auch im Security Incident Management untersucht wurden. Die Analyse hatte zum Ergebnis, dass genannte Kataloge meist Bottom-Up entwickelt und dann gruppiert wurde, oder für die Katalogisierung Tätergruppen oder deren Motivation mit einbezogen wurden, oder IT-System Typen unterschieden wurden usw.. Das Gedankenexperiment schliesst darum Tätergruppen und IT-Systemtypen aus. Wir mischen also Threats nicht mit Threat Actors. Die Anwendbarkeit ist generisch hinsichtlich aller möglichen IT-System Typen, insofern, dass IT-Systeme immer Hardware und Software umfassen. Somit sind nicht nur klassische IT-Systeme (Applikationen, Services) im Scope, sondern auch SCADA Systeme oder medizinische Geräte - auch diese sind IT-Systeme mit Hardware und Software. Nein den Menschen habe ich nicht vergessen ;-)


Abgrenzung: Andere OpRisk im Kontext von IT- und Cyberrisiken habe ich vergessen? Nein. Aber die Nichteinhaltung von Gesetzen oder Verordnungen (je nach Rechtsraum andere Begriffe wie "Direktiven") ordne ich den Compliance Risiken zu. Dito, wenn es um die Überwachung von Outsourcing-Partnern geht, welche ich ebenfalls den Compliance Risiken zuordne (Vertragsverletzungen). Aber: Auch bei 3rd Party können diese Top 10 Threat Cluster angewendet werden. Umwelt-Bedrohungen sind auch kein Cyber Threats. Materialversagen auch nicht. etc.

Ziel: Wir reden überall dieselbe "Sprache"

Von der Strategie bis Threat Intelligence - der Verbinder heisst "Threat (-Cluster)"

Weitere Informationen und Details en

Prämissen oder Axiome

DU MUSST DIESE PRÄMISSEN AKZEPTIEREN, WENN DU DIESES KONZEPT VALIDIERST

Das Gedankenexperiment


[Hilfetext ein-/ausblenden]
[Schwachstellen ein-/ausblenden]
[Key-Controls ein-/ausblenden]

Stellen Sie sich die komplexe Welt der Informationstechnologie als ein einzelnes, greifbares Objekt vor. Dieses Objekt, obwohl robust und scheinbar geschlossen, hat verschiedene Angriffsflächen – die Schwachstellen.

/* Grüner Text kann im Lesefluss des Gedankenexperiments "ignoriert" werden und stellt eine erklärende Information dar und ist primär an technisch Interessierte adressiert ;-)*/

**1.** Wir sind beim Asset Software. Zunächst konzentrieren wir uns auf das Wesentliche und kümmern uns um den Umfang und stellen fest, dass MEHR Umfang auch mehr Angriffsfläche bedeutet. Hier entsteht unser erster Threat Cluster: **Abuse of Functions**

/* Weniger Umfang heisst, weniger Angriffsfläche, welche ein Angreifer in seinem Interesse nutzen kann. */

/* Generische Schwachstelle: Umfang von Software und Funktionen */

/* Key controls: PREVENT: e.g. Hardening - "The CIS Hardening Guides", Application Control, DETECT: e.g. how about detections rules for Lolbins ;-) RECOVER: depends on ... */

**2.** Serverseitige Software, obwohl optimiert, kann interne Fehler enthalten, die (aus der Ferne) ausgenutzt werden können, besonders wenn sie direkt exponiert ist.Dies führt uns zum Threat Cluster:**Exploiting (Server)**

/* Nachfolgende Trennung von Software in Client und Server erfolgt aufgrund unterschiedlicher Angriffsvektoren und auch unterschiedlichen präventiven Massnahmen. */

/* Generische Schwachstelle sind Fehler im Code im Sinne des "Handwerkes" - z.B. ungenügende Input Prüfungen, Logikfehler, Race Conditions etc.*/

/* Ein Server ist ein Softwareprogramm oder System, das darauf wartet, Anfragen von Clients zu erhalten und darauf zu reagieren. Er "dient" den Anforderungen des Clients, daher der Name. */

/* Key controls: PREVENT: e.g. Secure coding practices, WAF (detection rules), Patching - "the World of CVE" DETECT asap: Vulnerability Scans, Detection Rules; !Reducing lateral damage with zones! ... */

**3.** Auch auf der Clientseite besteht die Gefahr, dass dort vorliegende Softwarefehler ausgenutzt werden. Diese Art von Angriff, bei dem der Client (via Anwender oft unwissentlich) auf eine schädliche Ressource zugreift, manifestiert sich im Threat Cluster:**Drive by Infection (Client)**

/* Generische Schwachstelle sind Fehler im Code im Sinne des "Handwerkes" - z.B. ungenügende Input Prüfungen, Logikfehler, Race Conditions etc. - ja es sind dieselben wie beim Server. In der Natur der Sache sind es aber im selben System zwei Unterschiedliche Ausgangslagen, die zu trennen sind. */

/* Ein Client ist ein Softwareprogramm oder System, das eine Anfrage an ein anderes System (den Server) sendet, um eine bestimmte Aufgabe oder Funktion auszuführen. "Client" bezieht sich hier auf die Software, nicht auf das physische Gerät. */

/* Typischerweise setzt diese Bedrohung voraus, dass bereits der Server oder Content auf dem Server, zu welchem der Client connected, kompromittiert wurde. */

/* Key controls: PREVENT: e.g. Secure coding practices, Proxy(-blocking), Webisolation, white list, patching asap .... */

**4.** Unsere Software interagiert mit Identitäten, sowohl menschlichen als auch technischen. Wenn diese Identitäten kompromittiert werden, können sie missbraucht werden. Dies führt zu dem Threat Cluster: **Identity Theft**

/* Aus Sicht unseres Gedankenexperiments sind wir bei der Fragestellung "Wer darf mich überhaupt nutzen? Wer bist du und wie stelle ich sicher, dass du du bist?" */

/* Identity-Management und Credentials (oder generell Authentisierungsverfahren) haben neben technischen immer auch organisatorische Herausforderungen. So werden idR Konzessionen an die "useability" gemacht, was sich im "Design" sichtbar macht. Use Case bezogen Funktionen bauen/programmieren und Identity- und Accessmanagement sind NIE integral programmierbar, sondern bestenfalls ergänzend abgestimmt oder additiv implementiert. */

/* "Abuse of rights" grenze ich hier ab. Das wäre ein "internes Delikt" eines "Berechtigten" (hier gibt es dann auch unterschiedliche Tätergruppen). Das ist nicht Cyber Risk. Irgendwo muss auch hier die Grenze gezogen werden. */

/* Generische Schwachstelle ist also das Design */

/* Regel: Wir handhaben diese Bedrohung hier also bezogen auf "Designschwachstellen in der Verwendung von Software (und Hardware) für die Identifikation und Authentifizierung". Wir dürfen dies aber nicht damit verwechseln, dass ein Angreifer via anderem Threat an Identitiäten und Credentials gelangt. Via (local) Exploit zum Beispiel. */

/* Key controls: PREVENT: e.g. MFA (OOB), asap .... */

**5.** Kommunikation ist entscheidend in unserer vernetzten Welt. Doch während Daten zwischen Punkten A und B übertragen werden, könnten Dritte lauschen oder sich einschleusen. Dies offenbart den Threat Cluster:**Man in the Middle**

/* MitM ermöglicht Identity-Theft? Ja genau: Path: 6 -> 4, aber bevor du die Idenity bekommst, musst du dazwischen kommen. */

/* Generische Schwachstelle: No Control over communication flow/path */

/* Key controls: PREVENT: e.g. e2e encryption, .... */

**6.** Diese ständige Vernetzung macht uns aber auch anfällig für Angriffe, die unsere Infrastruktur überfluten und außer Betrieb setzen möchten. Das leitet uns zum Threat Cluster:**Flooding Attack**

/* Ja, es gibt expolits wie den ping of death, welcher direkt auf Nichtverfügbarkeit abzielt. Die Schwachstelle Bei ping of death ist aber nicht die "Kapazität", sondern ein Fehler. DDOS hat schon die Ereigniskategorie "Availability bzw. Non availability im Namen. DDOS ist darum kein Threat. Siehe auch Ping Of Death, welcher meist auch als DDOS angewendet werden kann - also threat #2 */

/* Generische Schwachstelle Capacity */

/* Key controls: PREVENT: e.g. Provider Solution or better "Cloudflare", WAF .... */

**7.** In der digitalen Landschaft tauschen Menschen kontinuierlich Dateien und Daten aus. Dieser Austausch birgt Risiken. Einige dieser Dateien könnten schädlichen Code enthalten und so eine Bedrohung darstellen. Hier entsteht der Threat Cluster: **Malware**

/* Generische Schwachstelle ist die Möglichkeit “fremden Code” per Design der Software auszuführen. */

/* Im Gegensatz zu Softwarefehlern, bei denen eine Codeausführung (fremder Code) durch eine unbeabsichtigte Lücke oder Schwachstelle möglich ist, aber Codeausführung (fremder Code) nie vorgesehen war (wie bei den Threat Clustern 2 und 3), bedient sich der Malware Threat dem Sachverhalt, dass eine Codeausführung (fremder Code) grundsätzlich vorgesehen ist. Bei Malware ist es die Herausforderung, die Codeausführung von schädlichem Code zu erkennen und zu blockieren. Bspw. ist es vorgesehen, dass in Office Dateien auch Code vorliegen kann. Es ist auch grundsätzlich vorgesehen, dass Endbenutzer eines Windows Rechners Code ausführen/starten können. */

/* Je Funktionsumfang von Malware und/oder der Fähigkeit solche nachzuladen und auszuführen, können obige Threats,je nach Drehbuch des Angreifers, folgen. Aber das Sequenzieren gilt für alle threats je Kampagne des Angreifers. */

/* Key controls: PREVENT: e.g. Blocking Filetypes on mail and webproxy, app control, malware detection, .... */

**8.** Wir sind nicht allein. Unsere Software-Ökosysteme sind oft verknüpft mit Software und Hardware von Dritten. Haben wir diese im Griff?. Dies leitet den Threat Cluster: **Supply Chain Attack** her.

/* Generische Schwachstelle ist das Vertrauen in die Software oder die Hardware von Dritten, welches, wenn ausgenutzt, andere Threats ermöglicht. */

/* Beispiel Path: 8 -> 7 -> 2 -> 7 -> 2 .... (Kompromittierter Updateserver beim Dritten mit Verteilung Malware (Wurm)) */

/* Key controls: PREVENT: e.g. trustworthy (download-)repository; installation, execution and monitoring in isolated environment; hash verification, .... */

**9.** In unserer digitalen Welt dürfen wir nicht vergessen, dass es physische Punkte des Zugriffs und der Interaktion gibt, durch die Eindringlinge kommen könnten. Daher haben wir den Threat Cluster: **Physical Attack**

/* Generische Schwachstelle bei Hardware ist die Möglichkeit physischer Manipulation */

/* Ja, ich "clustere" hier grosszügig - Threats 1-7 sind "Software Threats" - demgegenüber sind 8/9 "Hardware Threats" und 10 "Social Threats */

/* Key controls: PREVENT: e.g. Preventing Access, Device Control */

**10.** Schließlich, am Kern unserer Bemühungen, steht der Mensch. Trotz aller Technologie sind wir anfällig für Täuschung, Manipulation und Fehlverhalten. Dieses menschliche Element führt uns zum Threat Cluster: **Social Engineering**

/* Generische Schwachstelle beim Menschen ist seine Leichtgläubigkeit oder Unkenntnis oder Kompromittierbarkeit */

/* Ja, ich "clustere" hier grosszügig - Threats 1-8 sind "Software Threats" - demgegenüber ist 9 "Hardware Threats" und 10 "Social Threats" */

/* Es gibt Cyberbedrohungen, welche aus der alten Welt "digitalisert" wurden wie "Scam" aller Art - diese sind auch in diesem Threat-Cluster zusammengefasst. Via Schwachstelle Mensch wird dabei auf den Prozess oder den Menschen selbst abgezielt. Vielleicht wäre der Begriff "Human Engineering" besser? Hier werden KEINE IT-Systeme kompromittiert, sondern der Mensch allein und diesen zu einer Aktion zu bringen ist das Ziel des Angreifers. Darum ist die "Phishing Mail mit Link" hier zugeordnet (10) und die Fake Webseite, welche Credentials abgreift, dem Threat Cluster 4. Path= 10 -> 4. */

/* Key controls: PREVENT: e.g. Awareness, .... */


Ja. Ich proklamiere eine Vollständigkeit im Sinne Top Down. Nachfolgend der Beleg, dass auch Bottom-Up in diese Top-Level Struktur verlinkt werden kann.

Sub-Clusters? Manchmal sind es nur Threats ;-)

Die Toplevel Threatclusters haben Sub-Threats, welche nachfolgend nur unvollständig und beispielhaft abgebildet sind für eine Veranschaulichung: (Kein Anspruch auf Vollständigkeit)

Weitere Informationen und Details en